Negli ultimi 2 anni abbiamo avuto molte opportunità di testare la nostra resilienza collettiva di fronte a una pandemia globale, di fronte a eventi meteorologici e sismici, conflitti cinetici e cibernetici, impatti della supply chain, sfide economiche e crescenti livelli di criminalità distruttiva e distruttiva. Continueremo ad essere messi alla prova e chissà cosa accadrà nei prossimi mesi e nei prossimi trimestri.
Nonostante tutto i governi, le organizzazioni e gli individui hanno affrontato notevolmente bene queste sfide non secondo un piano, ma con adattabilità i utilizzando capacità costruite e stabilite nel tempo. Ad esempio, conosco molte organizzazioni che si sono mosse con fiducia nella risposta alla pandemia col lavoro remoto non perché avessero un piano documentato esplicito per farlo, ma piuttosto perché avevano investito nella capacità di supportare il lavoro remoto continuo al 100% per la loro forza lavoro e aveva regolarmente testato tale capacità.
La resilienza può essere intesa come la capacità di assorbire gli urti e gestire le avversità. Non è semplicemente la capacità di deviare, evitare o prevenire gli eventi. Gli eventi in questo contesto possono riguardare tutti i settori di rischio aziendale e tecnologico – che siano lenti o in rapido movimento – dal cyber alle pandemie. Uno degli errori comuni che molte organizzazioni commettono è pensare che la resilienza possa essere ottenuta semplicemente scrivendo piani e procedure completi su cosa fare e come rispondere a eventi specifici.
Quando qualcuno pensa ad un nuovo evento o scenario, un nuovo piano viene scritto e accuratamente archiviato in un Grande Libro dei Piani. Alla fine c’è un intero scaffale pieno (o equivalente virtuale) di queste cose. A volte i piani sono anche testati per vedere se funzionano davvero. Ci sono tre grandi problemi in questo, quando si affronta la realtà degli eventi reali:
- In una situazione di crisi reale, è improbabile che le persone alimentate da adrenalina si prendano il tempo di consultare grandi manuali per dire loro cosa fare.
- La maggior parte delle crisi o eventi significativi sono casi unici e anche se hai consultato i piani sarebbe un grande sforzo per adattarli alla situazione specifica che si sta affrontando.
- Non tutti i piani possono essere testati frequentemente e quindi i mezzi sottostanti (persone, processo, tecnologia) di attuazione delle azioni in quei piani potrebbero non essere stati sufficientemente mantenuti e possono essere visti solo come carenti quando più necessario.
La risposta a questi problemi è semplice ma efficace: concentrarsi sulle capacità e non sui piani. Le capacità consolidate sono combinate / utilizzate in un momento di bisogno da una forza lavoro addestrata per affrontare qualsiasi evento venga loro lanciato. Le capacità sono costantemente mantenute e testate indipendentemente dalle esercitazioni di crisi/ eventi. Le esercitazioni si concentrano quindi sulla costruzione della memoria di risposta alle crisi in tutta l’organizzazione. In un prossimo articolo vedremo quali sono le capacità da allenare per una buona resilienza (1-continua)
*Vice Presidente e Chief Information Security Officer di Google Cloud
